你在这里

Dns Cacheing poisoning (DNS缓存麻痹)

Forums: 

Dns Cacheing poisoning (DNS缓存麻痹)是一种DNS欺骗的手段,可以将查询者导向到欺骗者指向的恶意ip地址.

      首先我们先理解一下DNS的概念。在互联网中我们要去拜访某一台机器,必须要知道这个机器的ip地址--类似于XXX.XXX.XXX.XXX 这样的格式的数字。这样的数字难于记忆,也很容易混淆,所以发明了一种人好记忆的格式的"名字".例如www.docutek.com.cn。这样的格式方便了记忆。同时由于要将这个名字解析到与之对应的ip地址上面,所以要在互联网中专门用计算机来负责解释这个名称和对应的ip地址。这个机器就是DNS服务器。
世界上有很多的计算机ip地址和对应的名称,所以一台服务器不可能将所有名称和ip地址都保存到自己机器上来,它只会保存本身所属域中的授权的主机。但是为了提高响速度,就用了一个缓存的概念,当一个DNS服务器接收到一个查询,并且得出了结果给查询的机器之后,自己也会保存这个结果一段时间,这样,下次有其他机器来查询这个域名的时候就可以直接返回这个ip地址给查询的机器,而不用再一次去查询了。
     接下来我们看看欺骗者是怎样达到目的的。
     欺骗者首先自己建立或者攻击下来一个域服务器ns.attack.cn ,在服务器上创建一个域attack.cn..并且在ns.attack.cn上面创建一条记录,这条记录不是他自己的记录,而是其他机器的记录比如是www.docutek.com.cn ip地址指向他自己一个服务器122.122.122.122 .
     然后他向一个要攻击的DNS服务器比如是电信DNS服务器 202.96.209.133 查询一个www.attack.cn的域名,这个时候电信服务器就到ns.attack.cn上面查询这个记录,而ns.attack.cn则返回自己域里面所有主机记录(包括www.docutek.cn 122.122.122.122 这条记录)给电信的服务器。这个时候电信的服务器上面就有了欺骗者想要有 一个欺骗的ip地址记录了。
     接下来欺骗者再向电信DNS服务器发送一个查询www.docutek.com.cn 电信dns服务器直接返回了 122.122.122.122这个地址给欺骗者,并且下次有人来查询www.docutek.com.cn 这个域名的时候,服务器同样返回122.122.122.122 这个地址给查询者。查询者就被误导到122.122.122.122这个不属于docutek.com.cn 域的机器上去了。这种情况一直要维持到电信服务器清除它attack.cn域的缓存。
当然实际情况可能比赛上面的场景要复杂一,但是都是一样的道理要在电信DNS服务器上产生一条假的信息记录。
当欺骗的手之后,欺骗者一般会在网页上嵌入病毒或者是恶意程序,使拜访者中毒,或者是泄露自己的资料。